AWS - S3 Post Exploitation

S3

더 많은 정보는 다음을 확인하세요:

Sensitive Information

때때로 버킷에서 읽을 수 있는 민감한 정보를 찾을 수 있습니다. 예를 들어, terraform 상태 비밀.

Pivoting

다양한 플랫폼이 S3를 사용하여 민감한 자산을 저장할 수 있습니다. 예를 들어, airflow는 DAGs 코드를 거기에 저장할 수 있으며, 웹 페이지는 S3에서 직접 제공될 수 있습니다. 쓰기 권한이 있는 공격자는 버킷의 코드를 수정하여 다른 플랫폼으로 피벗하거나 JS 파일을 수정하여 계정을 인수할 수 있습니다.

S3 Ransomware

이 시나리오에서 공격자는 자신의 AWS 계정 또는 다른 손상된 계정에서 KMS(키 관리 서비스) 키를 생성합니다. 그런 다음 이 키를 전 세계 누구나 접근할 수 있도록 하여 모든 AWS 사용자, 역할 또는 계정이 이 키를 사용하여 객체를 암호화할 수 있도록 합니다. 그러나 객체는 복호화할 수 없습니다.

공격자는 대상 S3 버킷을 식별하고 다양한 방법을 사용하여 쓰기 수준의 접근 권한을 얻습니다. 이는 공개적으로 노출된 잘못된 버킷 구성 때문일 수 있으며, 공격자가 AWS 환경 자체에 접근하게 될 수도 있습니다. 공격자는 일반적으로 개인 식별 정보(PII), 보호된 건강 정보(PHI), 로그, 백업 등과 같은 민감한 정보를 포함하는 버킷을 목표로 합니다.

버킷이 랜섬웨어 공격의 대상이 될 수 있는지 확인하기 위해 공격자는 그 구성을 확인합니다. 여기에는 S3 객체 버전 관리가 활성화되어 있는지와 다단계 인증 삭제(MFA 삭제)가 활성화되어 있는지 확인하는 것이 포함됩니다. 객체 버전 관리가 활성화되어 있지 않으면 공격자는 진행할 수 있습니다. 객체 버전 관리가 활성화되어 있지만 MFA 삭제가 비활성화되어 있으면 공격자는 객체 버전 관리를 비활성화할 수 있습니다. 객체 버전 관리와 MFA 삭제가 모두 활성화되어 있으면 공격자가 특정 버킷을 랜섬웨어로 공격하기가 더 어려워집니다.

AWS API를 사용하여 공격자는 자신의 KMS 키를 사용하여 버킷의 각 객체를 암호화된 복사본으로 교체합니다. 이는 버킷의 데이터를 효과적으로 암호화하여 키 없이는 접근할 수 없게 만듭니다.

추가 압박을 가하기 위해 공격자는 공격에 사용된 KMS 키의 삭제를 예약합니다. 이는 대상에게 키가 삭제되기 전에 데이터를 복구할 수 있는 7일의 시간을 제공합니다.

마지막으로, 공격자는 일반적으로 "ransom-note.txt"라는 이름의 최종 파일을 업로드하여 대상에게 파일을 복구하는 방법에 대한 지침을 제공합니다. 이 파일은 암호화 없이 업로드되어 대상의 주목을 끌고 랜섬웨어 공격을 인식하게 하려는 의도가 있습니다.

더 많은 정보는 원본 연구를 확인하세요.